Лабораторная работа №7

Расширенные настройки межсетевого экрана

Газизянов Владислав Альбертович

2025-12-19

Цели и задачи

Цель: Получить практические навыки расширенной настройки межсетевого экрана FirewallD.

Задачи: - Настроить доступ по SSH через нестандартный порт 2022 - Реализовать переадресацию портов - Настроить маскарадинг для доступа клиента в Интернет - Автоматизировать процесс настройки с помощью скрипта

Запуск виртуальной машины и вход под суперпользователем

Создание пользовательской службы

Настройка FirewallD для SSH на порту 2022: - Создание XML-файла пользовательской службы ssh-custom - Изменение стандартного порта 22 на 2022 - Активация службы в текущей и постоянной конфигурации

Создание и просмотр файла пользовательской службы

Редактирование конфигурации службы

Модификация файла службы: - Копирование стандартного шаблона службы SSH - Редактирование XML-файла для указания порта 2022 - Обновление описания службы

Редактирование конфигурационного файла службы

Активация службы

Добавление службы в FirewallD: - Перезагрузка конфигурации FirewallD - Добавление службы ssh-custom в активные правила - Сохранение изменений с флагом --permanent

Добавление и активация пользовательской службы в FirewallD

Настройка переадресации портов

Организация доступа через порт 2022: - Добавление правила переадресации TCP-трафика - Направление входящих соединений с порта 2022 на порт 22 - Проверка доступности SSH-сервера на новом порту

Настройка правила переадресации портов

Тестирование SSH-подключения

Проверка работоспособности: - Подключение с клиентской машины через порт 2022 - Использование параметра -p в команде ssh - Подтверждение успешного установления соединения

Проверка подключения по SSH через порт 2022

Включение IP-форвардинга

Активация маршрутизации в ядре ОС: - Проверка текущего состояния перенаправления пакетов - Создание конфигурационного файла 90-forward.conf - Установка параметра net.ipv4.ip_forward = 1

Активация перенаправления IP-пакетов в ядре

Настройка маскарадинга

Обеспечение доступа клиента в Интернет: - Включение механизма Masquerading в зоне public - Применение изменений с флагом --permanent - Проверка сетевого подключения клиента

Настройка маскарадинга в FirewallD

Проверка сетевого доступа

Тестирование подключения к Интернету: - Проверка доступности внешних сетевых ресурсов - Подтверждение работоспособности настроек маршрутизации - Верификация работы механизма маскарадинга

Проверка сетевого подключения клиента к Интернету

Подготовка файлов конфигурации

Создание структуры для автоматизации: - Копирование конфигурационных файлов в проект Vagrant - Организация директорий etc/firewalld/services и etc/sysctl.d - Подготовка файлов для provisioning-скрипта

Копирование конфигурационных файлов в проект Vagrant

Создание скрипта автоматизации

Разработка bash-скрипта: - Написание скрипта firewall.sh для автоматической настройки - Включение команд копирования файлов и настройки FirewallD - Установка прав на выполнение скрипта

Создание и содержимое скрипта автоматической настройки

Интеграция с Vagrant

Настройка автоматического развёртывания: - Добавление скрипта в конфигурацию Vagrantfile - Настройка provisioning для виртуальной машины server - Обеспечение порядка выполнения скриптов

Добавление скрипта в конфигурацию Vagrantfile

Контрольные вопросы

Основные вопросы: - Где хранятся пользовательские файлы firewalld?
В директории /etc/firewalld/services/

  • Какую строку добавить для порта TCP 2022?
    <port protocol="tcp" port="2022"/>

  • Как перечислить все доступные службы?
    Команда firewall-cmd --get-services

  • В чём разница NAT и Masquerading?
    Masquerading — частный случай NAT для динамических IP

  • Как перенаправить трафик на порт 4404?
    firewall-cmd --add-forward-port=port=4404:proto=tcp:toport=22:toaddr=10.0.0.10

  • Как включить маскарадинг в зоне public?
    firewall-cmd --zone=public --add-masquerade

Выводы

Результаты работы: - Освоены методы расширенной настройки FirewallD - Реализован доступ к SSH через альтернативный порт - Настроен маскарадинг для маршрутизации трафика клиента - Создан автоматизированный сценарий развёртывания - Приобретены навыки управления сетевым экраном в Linux